https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html
https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html

新聞

微軟示警macOS 惡意程式 XCSSET 捲土重來,軟體開發者成為目標

2025 / 02 / 18
編輯部
微軟示警macOS 惡意程式 XCSSET 捲土重來,軟體開發者成為目標
微軟威脅情報團隊近日指出針對 macOS 的惡意程式 XCSSET 推出新變種,主要透過感染 Xcode 專案來鎖定蘋果開發者。這是自 2022 年以來首次發現的 XCSSET 新變種,雖然目前攻擊範圍有限,但由於其複雜的攻擊手法,引起資安專家的高度關注。

XCSSET 的演進歷程 XCSSET 最早於 2020 年被發現,是一款專門針對 Mac 用戶和開發者的資訊竊取型惡意程式。早期版本曾利用零日漏洞執行惡意操作,主要透過感染 Xcode 專案進行傳播。Xcode 是蘋果官方的整合開發環境(IDE),用於開發 macOS 應用程式。

趨勢科技的研究人員指出,XCSSET 的傳播方式相當巧妙。受感染的開發者會在不知情的情況下,透過受感染的 Xcode 專案將木馬程式傳播給其用戶。一般的檔案驗證方法,如檢查雜湊值,也無法發現問題,因為開發者本身並不知道他們正在散布惡意檔案。

新變種的進階功能 根據微軟的分析,新版 XCSSET 在資料竊取能力上有顯著提升。這個新版本不僅可以竊取 Notes 應用程式數據,還會針對數位錢包進行監控,同時持續擷取系統資訊和重要檔案。此外,它還會監控並竊取包括 Telegram、WeChat、Evernote 等多款常用應用程式的資料。

在技術層面,新版本採用了更先進的混淆技術。它使用隨機化的載荷產生方法,編碼技術和迭代次數都經過隨機化處理。除了原有的 xxd(hexdump)編碼外,新版本還加入了 Base64 編碼。更重要的是,程式碼層級的模組名稱都經過混淆,大幅增加了分析難度。

為確保持續性,新版 XCSSET 採用了兩種主要機制。
  • 第一種是「zshrc」方法,它會建立 ~/.zshrc_aliases 檔案來存放惡意載荷,並在 ~/.zshrc 檔案中附加啟動指令,確保每次開啟新的 shell 工作階段時都會自動執行。
  • 第二種是「dock」方法,惡意程式會從指令與控制伺服器下載經過簽署的 dockutil 工具,建立偽裝的 Launchpad 應用程式,並替換正常 Launchpad 的 dock 路徑,實現同時執行正常程式和惡意載荷的目的。
在感染策略方面,新版本提供了包括 TARGET、RULE 和 FORCED_STRATEGY 等多種載荷植入選項。它還可以將載荷隱藏在建置設定的 TARGET_DEVICE_FAMILY 金鑰中,並在後期階段才執行惡意程式,藉此降低被發現的風險。

防護建議

安全專家建議開發者在從網路上下載 Xcode 專案時要格外謹慎,建立可信任的程式碼來源清單,並定期檢查專案中是否存在異常檔案或設定。在系統層面,建議確保 macOS 系統保持最新狀態,安裝可靠的防毒軟體並保持即時防護,同時密切監控系統中的異常活動,特別是涉及 Xcode 相關進程的部分。

對於應用程式安全,專家建議定期檢查 Launchpad 和 Dock 設定是否遭到更改,注意應用程式的異常行為,並謹慎管理敏感資料的存取權限。值得注意的是,即使是來自信任夥伴的 Xcode 專案也需要謹慎處理,因為提供者可能不知道專案已被植入惡意程式。開發者社群應該提高警覺,共同防範這類針對性攻擊。